翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ServiceNow の統合
このトピックでは、Security Hub コンソールにアクセスして ServiceNow ITSM の統合を設定する方法について説明します。統合の追加のためにこのトピックのいずれかの手順を完了する前に、ServiceNow ITSM のサブスクリプションを購入する必要があります。詳細については、ServiceNow ウェブサイトの「価格設定ページ
組織内のアカウントでは、委任管理者のみが統合を設定できます。委任管理者は、メンバーアカウントの検出結果に対して手動でチケット作成機能を使用できます。さらに、委任管理者は自動化ルールを使用して、メンバーアカウントに関連付けられた検出結果に対するチケットを自動で作成させることもできます。自動化ルールを定義する場合、委任管理者はすべてのメンバーアカウントまたは特定のメンバーアカウントを含む条件を設定できます。委任管理者の設定については、「Setting a delegated administrator account in Security Hub」を参照してください。
組織のアカウントでないアカウントの場合、この機能のすべての側面を使用できます。
前提条件 - ServiceNow 環境を設定する
ServiceNow ITSM の統合を設定するには、以下の前提条件を満たす必要があります。前提条件を満たしていないと、ServiceNow ITSM と Security Hub の統合は機能しません。
1. IT サービス管理 (ITSM) 向け Security Hub 検出結果統合のインストール
次の手順では、Security Hub プラグインをインストールする方法について説明します。
-
ServiceNow ITSM インスタンスにサインインし、アプリケーションナビゲーターを開きます。
-
[ServiceNow ストア]
に移動します。 -
IT サービス管理 (ITSM) 向け Security Hub 検出結果の統合を検索し、[取得] を選択してアプリケーションをインストールします。
注記
Security Hub アプリケーションの設定で、新しい Security Hub の検出結果が ServiceNow ITSM 環境に送信されたときに実行するアクションを選択します。[何もしない]、[インシデントを作成する]、[問題を作成する]、[両方を作成する (インシデント+問題)] のいずれかを選択します。
2. インバウンド OAuth リクエストのクライアント認証情報付与タイプの設定
インバウンド OAuth リクエストには、この付与タイプを設定する必要があります。詳細については、ServiceNow サポートウェブページの「Client Credentials grant type for Inbound OAuth is supported
3. OAuth アプリケーションの作成
OAuth アプリケーションを作成済みの場合は、この前提条件をスキップできます。OAuth アプリケーションの作成については、「Setting up OAuth
前提条件 - 設定 AWS Secrets Manager
Security Hub と ServiceNow の統合を使用するには、ServiceNow OAuth アプリケーションの認証情報を Secrets Manager に保存する必要があります。Secrets Manager に認証情報を保存すると、Security Hub が認証情報を使用して ServiceNow インスタンスと統合できるようにしながら、認証情報の使用を制御および可視化できます。Secrets Manager に認証情報を保存するには、カスタマーマネージド AWS KMS キーを使用してシークレットを保護する必要があります。この AWS KMS キーを使用すると、保管中にシークレットを保護し、シークレットを保護しているキーにアクセスするためのアクセス許可を Security Hub に付与するポリシーをキーにアタッチできます。
次の手順を使用して、ServiceNow 認証情報の Secrets Manager を設定します。
ステップ 1: AWS KMS キーにポリシーをアタッチする
ServiceNow 統合を正常に設定するには、まず Secrets Manager の ServiceNow 認証情報に関連付けられている AWS KMS キーを使用するアクセス許可を Security Hub に付与する必要があります。
Security Hub が ServiceNow 認証情報にアクセスするための AWS KMS キーポリシーを変更するには
-
https://console.aws.amazon.com/kms
で AWS KMS コンソールを開きます。 -
AWS リージョンを変更するには、ページの右上隅にあるリージョンセレクターを使用します。
-
既存の AWS KMS キーを選択するか、 AWS KMS デベロッパーガイドの新しいキーを作成するステップを実行します。
-
[Key policy] (キーポリシー) セクションで、[Edit] (編集) を選択します。
-
ポリシービューに切り替えが表示された場合は、キーポリシーを表示するために選択し、編集を選択します。
-
次のポリシーブロックを AWS KMS キーポリシーにコピーして、キーを使用するアクセス許可を Security Hub に付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::your-account-id:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow Security Hub connector service to decrypt secrets", "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.your-region.amazonaws.com" }, "StringLike": { "kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*" } } } ] } -
ポリシーの例で次の値を置き換えて、ポリシーを編集します。
-
your-account-idを AWS アカウント ID に置き換えます。 -
your-regionを AWS 自分のリージョン (例: ) に置き換えますus-east-1。
-
-
最後のステートメントの前にポリシーステートメントを追加した場合は、このステートメントを追加する前にカンマを追加します。 AWS KMS キーポリシーの JSON 構文が有効であることを確認します。
-
[保存] を選択します。
-
(オプション) キー ARN をメモ帳にコピーして、後のステップで使用します。
ステップ 2: Secrets Manager でシークレットを作成する
ServiceNow 認証情報を保存するシークレットを Secrets Manager に作成します。Security Hub は、ServiceNow 環境を操作するときにこのシークレットにアクセスします。
AWS Secrets Manager 「 ユーザーガイド」の手順に従ってシークレットを作成します。シークレットを作成したら、Security Hub コネクタの作成時に必要になるため、シークレット ARN をコピーします。
シークレットを作成するときは、以下を設定してください。
- シークレットタイプ
-
他の種類のシークレット
- キーと値のペア (プレーンテキスト形式)
-
{ "ClientId": "your-servicenow-client-id", "ClientSecret": "your-servicenow-client-secret" }注記
フィールド名は厳密に
ClientIdおよびClientSecret(大文字と小文字が区別されます) である必要があります。Security Hub では、認証情報を取得するためにこれらの正確な名前が必要です。 - 暗号化キー
-
ステップ 1 で設定した AWS KMS キーを使用する
- リソースポリシー
-
以下のリソースポリシーを使用します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "connector.securityhub.amazonaws.com" }, "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*", "Condition": { "StringEquals": { "aws:SourceAccount": "your-account-id", "aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*" } } } ] }
これでシークレットが設定され、CreateConnectorV2 API または AWS コンソールを使用して Security Hub コネクタを作成できます。以下を指定する必要があります。
-
InstanceName: ServiceNow インスタンス URL (例:
your-instance.service-now.com) -
SecretArn: この手順で作成したシークレットの ARN
ServiceNow ITSM の統合の設定
Security Hub は、ServiceNow ITSM 内にインシデントまたは問題を自動的に作成します。
ServiceNow ITSM の統合を設定するには
-
認証情報を使用して AWS アカウントにサインインし、https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1
で Security Hub コンソールを開きます。 -
ナビゲーションペインで、[管理]、[統合] の順に選択します。
-
ServiceNow ITSM で、[統合の追加] を選択します。
-
[詳細] で、統合の名前を入力し、統合についての任意の説明を入力するかどうかを選択します。
-
暗号化 では、Security Hub 内で統合認証情報を暗号化する方法を選択します。
-
AWS 所有キーを使用する - このオプションでは、Security Hub 所有のサービスキーを使用して、Security Hub 内の統合認証情報データを暗号化します。
-
別の KMS キーを選択する (詳細) - このオプションでは AWS KMS key 、Security Hub 内の統合認証情報データの暗号化に使用する、作成した を選択します。 AWS KMS キーの作成方法については、「 デベロッパーガイド」の AWS KMS 「キーの作成」を参照してください。 AWS Key Management Service 独自のキーを使用する場合は、Security Hub にキーへのアクセスを許可するポリシーステートメントを KMS キーに追加する必要があります。必要なAWS KMS ポリシーの詳細については、Security Hub チケット統合のキーポリシーを参照してください。
注記
設定完了後は、これらの設定を変更することはできなくなります。ただし、[カスタマイズされたキー] を選択した場合、カスタマイズされたキーのポリシーはいつでも編集できます。
-
-
認証情報には、前提条件セクションで URL ServiceNow ITSM と生成された AWS Secrets Manager シークレットの ARN を入力します。
-
[タグ] では、統合にオプションのタグを作成して追加するかどうかを選択します。
-
[Add integration] (統合の追加) を選択します。設定が完了したら、[設定済み統合] タブ内で設定された統合を確認できます。
ServiceNow との統合を設定したら、接続をテストして、ServiceNow 環境と Security Hub ですべてが正しく設定されていることを確認します。詳細については、「設定されたチケット発行統合のテスト」を参照してください。
